X
【セキュリティ】原神のアンチチートを悪用しアンチウイルス回避。ランサムウェアへの応用事例が確認 [香味焙煎★]
■ このスレッドは過去ログ倉庫に格納されています
0001香味焙煎 ★
垢版 |
2022/08/26(金) 18:03:27.51ID:GJ0qCwHf9
Trend Microは24日(現地時間)、オンラインRPGゲーム「原神」のアンチチート用ドライバがランサムウェアの展開に悪用されているとして、情報を公開した。

7月末に、エンドポイント保護が適切に設定されたユーザーの環境において、ランサムウェアに感染する事例が発生。同社が解析を行なったところ、コード署名済みのドライバ「mhyprot2.sys」を特権回避に悪用し、カーネルモードからエンドポイント保護プロセスをキルした上で、ランサムウェアを実行。ファイルの暗号化、身代金を要求する文書(ランサムノート)や大規模展開に向けたファイルの設置などを行なっていたという。

mhyprot2.sysは、デバイスドライバとして原神のアンチチート機能を提供しており、コード署名は現在も有効。なお、悪用に際しては、攻撃対象のデバイス上に原神がインストールされている必要はなく、mhyprot2.sys単体で利用できるとしている。

このアンチチートドライバについては、原神のリリース直後にも、ゲーム本体をアンインストールしてもmhyprot2.sysが削除されない、特権回避が可能であるといった報告がコミュニティであがっていた。さらに、これを利用した攻撃に関する概念実証も行なわれ、開発元のmiHoYoにも報告されていたが、脆弱性は認められないとして修正が提供されていないという。

同社では、mhyprot2.sys自体が正規の署名済みドライバで入手しやすいこと、特権回避の面で汎用性が高いこと、有用性の高い概念実証がすでに存在すること、長期に渡って影響する恐れがあることなどから、あらゆるマルウェアに組み込まれる可能性があるとして、注意喚起をしており、今後も調査を続けるという。

Impress
2022年8月26日 17:52
https://pc.watch.impress.co.jp/docs/news/1435071.html
0073ニューノーマルの名無しさん
垢版 |
2022/08/26(金) 19:15:13.18ID:fYsK++z/0
AndroidとiOSは関係ないと思われ(.sysというドライバファイルの概念を使わないので)
PS4,5はシステムわからんが少なくともPC版の話かな

HoYoverse垢でクロスプラットフォームで遊んでる人もいちおう気をつけた方がいいのかな
0074ニューノーマルの名無しさん
垢版 |
2022/08/26(金) 19:15:34.84ID:349P30hv0
平井デジタル大臣を使って香川でやってるようなゲーム規制を全国に広げようとしてた壺信者が俄然張り切ってますw
0075ニューノーマルの名無しさん
垢版 |
2022/08/26(金) 19:20:11.95ID:gXpPFutj0
恐ろしい時代になったもんだな。(´・ω・`; )
0078ニューノーマルの名無しさん
垢版 |
2022/08/26(金) 19:26:07.05ID:WxyokGKS0
>>72
原神インストールしたことなくても
このファイルを相手PCに送り込めれば攻撃が楽になる犯罪者お助けツール
0080ニューノーマルの名無しさん
垢版 |
2022/08/26(金) 19:28:10.19ID:EaFxP+o/0
>>76
PSと原神の規約は全く違うぞ?原神が原因で何かあっても一切保障はないってmiHoYoの規約に同意しただろ?PSがハックされたりしてもソニーもmiHoYoも取り合わないからなw
0081ニューノーマルの名無しさん
垢版 |
2022/08/26(金) 19:28:15.09ID:HtFSmWnD0
ちょっとカタカナ多すぎて何が書いてあるのかわからないです
アンチでアンチをアンチに使うみたいな感じか
0084ニューノーマルの名無しさん
垢版 |
2022/08/26(金) 19:32:32.73ID:+ZiXChZBO
中華製はハードもソフトも危険だな
ユーザーはサイバー戦において知らず知らずのうちに敵国の協力者に仕立て上げられるだろう
アメリカが中華製の規制に躍起になる訳だよ
日本は平和ボケだな
警察も元首相の暗殺みすみす許すようなへっぽこだし
一回ウクライナみたいに侵略戦争されてからでないと国民レベルから危機感持って取り組めるようにはならないのだろうか
0085ニューノーマルの名無しさん
垢版 |
2022/08/26(金) 19:33:55.79ID:fYsK++z/0
今のアンチウイルスソフトは hosts という名前のファイルを中身を見もせずにホスト不正書き換えファイルと見做してウイルス扱いしてくるので…
ありがたいシステムであると同時にめんどくさいシステムでもある

それはそれとしてnProまでアンチウイルスに引っかかるのはさすがにどうなんだろ
0095ニューノーマルの名無しさん
垢版 |
2022/08/26(金) 20:02:23.46ID:Hv0UKGJ80
>>27
Vita民だったから免れたが、某王国2は衝撃的だった。
まぁ幾ら出来が良くても所詮共産党産か。触らんで良かった。
0098ニューノーマルの名無しさん
垢版 |
2022/08/26(金) 20:29:33.90ID:WQJzFd4w0
オンゲそのものがヤバいからな
チート防ごうと思ったら仕込むしかないんだけど
どうしてもやりたかったら専用のPC用意しろってこった
0100ニューノーマルの名無しさん
垢版 |
2022/08/26(金) 20:36:22.46ID:MX1JIlTz0
そもそも支那産の無料アプリな時点でお察しだろ
ほぼバックドアアプリでインスコしたら終わりだし
0102ニューノーマルの名無しさん
垢版 |
2022/08/26(金) 20:43:08.64ID:xt45yZNO0
>>92
その通りだけど、インストールの切っ掛けを提供してるってだけでもうね
俺なんかPS4ですら原神やる気しないわ
0103ニューノーマルの名無しさん
垢版 |
2022/08/26(金) 20:46:43.71ID:KlvSRzw+0
とりあえずスチームとエピックとブリのランチャーのテレメトリうざい。絶え間なく何かを送信しやがって。
0104ニューノーマルの名無しさん
垢版 |
2022/08/26(金) 20:47:24.85ID:xt45yZNO0
覚えてる人いるか知らんけど、ThinkPadがレノボ製になった途端、妙なレノボ製ミドルウェアが沢山入っててしかも削除されない
気持ち悪くなって早々に売ったわ

IBMが作ってたときのThinkPad使っててトラックポインタが便利でよかったので買ったんだけど残念だった思い出
0106ニューノーマルの名無しさん
垢版 |
2022/08/26(金) 20:52:56.70ID:KlvSRzw+0
>>104
Bios経由か知らんが管理アプリ入れて来るんだろ?富士通の2013年あたりのA8搭載ノートもクリインしても富士通バッテリー管理アプリが勝手にダウンロードされてキモかったから速攻売却した。
0113ニューノーマルの名無しさん
垢版 |
2022/08/26(金) 23:36:36.52ID:aX7zVjPi0
アンチチート系は時々こういうのあるから怖いわな
0114ニューノーマルの名無しさん
垢版 |
2022/08/27(土) 00:03:25.63ID:h5Cou43y0
リリース時からの問題で放置されてたのがまた騒がれ出して表に出てきたってのに異様に燃えないな
展開的にタチ悪いし日本内でもトップクラスのアプリのはずなんだが
0117ニューノーマルの名無しさん
垢版 |
2022/08/27(土) 04:51:37.08ID:JtdfJjVf0
そら共産党は倫理観ゼロで騙された方が悪い価値観なんだから、釣られてインストールしたのが悪いわな。
最悪なのは土台から周囲に感染する可能性も高い罠。
0119ニューノーマルの名無しさん
垢版 |
2022/08/27(土) 08:42:56.74ID:dmMlOZDw0
認証権限が多岐に渡りすぎてるから回避用として流用されてるって話だよな?
ゲームやってるかどうかは関係なくね?
0120ニューノーマルの名無しさん
垢版 |
2022/08/27(土) 10:07:56.41ID:UUcHSjVk0
ゲームやってたらバックドア仕込まれ率100%
そうじゃなくても署名付きドライバだから、何の関係もない野良インストーラから気付かないうちにバックドアが入る率が高い

あとはsysの起動トリガーがブラウザから投げれるんだったら、ハッキングされた踏み台サイト見た瞬間にバックドアから侵入されて死亡するってだけだな
0122ニューノーマルの名無しさん
垢版 |
2022/08/27(土) 21:00:26.18ID:vVEQIbQ/0
>>121
まあな。脆弱性なんて開発元が認めない限りは存在しない事になるから実被害が発生したら被害者を募って訴訟てのがスジよな。
0123ニューノーマルの名無しさん
垢版 |
2022/08/30(火) 17:04:56.91ID:jZyT6Al80
mhyprot2.sysはもう原神で使ってなくてmhyprot3になってるから失効させなくてもアンチウィルス側で決めうちやってしまってもいい。
■ このスレッドは過去ログ倉庫に格納されています
ニューススポーツなんでも実況